這個(gè)月帶給你的是網(wǎng)站繞過(guò)認(rèn)證漏洞。為了更好的保證業(yè)務(wù)管理系統(tǒng)的安全保護(hù)，基本上每個(gè)系統(tǒng)軟件都有各種認(rèn)證功能。常見的認(rèn)證功能有賬號(hào)密碼認(rèn)證、驗(yàn)證碼短信認(rèn)證、JavaScript數(shù)據(jù)信息內(nèi)容認(rèn)證和服務(wù)器端數(shù)據(jù)信息內(nèi)容認(rèn)證。但是，編寫代碼的技術(shù)人員很可能在身份驗(yàn)證方法方面存在不足，這可能會(huì)導(dǎo)致他們被繞過(guò)。所以本文總結(jié)了以下幾種繞過(guò)認(rèn)證的姿勢(shì)，和大家一起探討。

Pc客戶端驗(yàn)證繞過(guò)

客戶端校驗(yàn)是一種常見的校驗(yàn)方式，也就是說(shuō)在pc客戶端對(duì)客戶的輸入進(jìn)行校驗(yàn)，將校驗(yàn)結(jié)果作為基本參數(shù)發(fā)送給服務(wù)器，或者使用web前端語(yǔ)言限制客戶的非法輸入和應(yīng)用。該類的測(cè)試方法可以通過(guò)更改web前端語(yǔ)言或篡改傳輸數(shù)據(jù)中的基本參數(shù)來(lái)繞過(guò)身份驗(yàn)證。

示例：

A)觀看視頻前需要購(gòu)買一個(gè)系統(tǒng)軟件，不同的課程內(nèi)容以id地址劃分。

b)。弄清楚支付是否只在web前端原生js調(diào)整，改變courseID就能看到不同的課程內(nèi)容。recordURL是指在線視頻觀看的超鏈接，無(wú)需登錄即可播放。

c)根據(jù)網(wǎng)絡(luò)電影中的視頻碼，可以獲取詳細(xì)地址3360進(jìn)行在線視頻觀看。

獲得url是視頻在線觀看的詳細(xì)地址。

d)根據(jù)代碼，可以在線觀看網(wǎng)站視頻。

客戶端身份驗(yàn)證個(gè)人信息泄露

程序員在編寫認(rèn)證程序代碼時(shí)，很有可能會(huì)將認(rèn)證信息內(nèi)容立即泄露到pc客戶端，攻擊者可以根據(jù)對(duì)服務(wù)器返回的數(shù)據(jù)信息的深入分析，立即得到核心的認(rèn)證信息內(nèi)容，然后進(jìn)行認(rèn)證。

示例：

當(dāng)需要完全免費(fèi)的wifi接入時(shí)，必須應(yīng)用發(fā)送到手機(jī)的密碼來(lái)完成認(rèn)證。在抓取發(fā)送登錄密碼的數(shù)據(jù)文件時(shí)，發(fā)現(xiàn)登錄密碼被返回到pc客戶端，導(dǎo)致各大網(wǎng)站賬號(hào)都可以登錄連接的網(wǎng)絡(luò)。

客戶端進(jìn)程調(diào)整繞過(guò)

當(dāng)程序員編寫認(rèn)證程序代碼時(shí)，很可能會(huì)將認(rèn)證效果返回給pc客戶端，pc客戶端根據(jù)服務(wù)器提供的認(rèn)證效果完成下一個(gè)應(yīng)用，攻擊者可以根據(jù)篡改認(rèn)證效果或者立即實(shí)現(xiàn)下一個(gè)應(yīng)用來(lái)繞過(guò)它。

示例：

A)系統(tǒng)軟件密碼重置需要三個(gè)過(guò)程。第一步，輸入圖形驗(yàn)證碼。

b)。然后需要根據(jù)驗(yàn)證碼短信認(rèn)證真實(shí)身份。

d)。您可以成功更改您的密碼和登錄密碼。

應(yīng)用目標(biāo)篡改旁路

如果應(yīng)用程序選擇連續(xù)的真實(shí)身份驗(yàn)證措施或真實(shí)身份驗(yàn)證過(guò)程與操作過(guò)程分離，它可以嘗試在身份認(rèn)證過(guò)程中改變真實(shí)身份驗(yàn)證目標(biāo)或應(yīng)用程序目標(biāo)可以完成旁路認(rèn)證。

示例：

a)更改系統(tǒng)軟件綁定的手機(jī)號(hào)碼。b)。挑選和接收電話驗(yàn)證碼的變化完全免費(fèi)。c)將更改后的手機(jī)號(hào)改為自己的手機(jī)號(hào)。d)根據(jù)變更后的手機(jī)號(hào)碼接收到的校驗(yàn)碼，變更手機(jī)號(hào)碼。e)。發(fā)現(xiàn)可以順利換一個(gè)全新的手機(jī)號(hào)。基本參數(shù)篡改，程序員在編寫認(rèn)證程序代碼時(shí)大概會(huì)檢查驗(yàn)證碼的短信字段名的準(zhǔn)確性，但是當(dāng)驗(yàn)證碼的短信字段名不存在或者為空時(shí)，就會(huì)馬上檢查。如果你的網(wǎng)站存在邏輯漏洞，又不知道如何檢測(cè)修復(fù)，可以找專業(yè)的網(wǎng)站安全公司處理。國(guó)內(nèi)的SINE安全，綠色聯(lián)盟，鷹盾安全，深信服，金星都挺好的。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn)，每一個(gè)項(xiàng)目承諾做到滿意為止，多一次對(duì)比，一定讓您多一份收獲！